CJ Moses, CISO von Amazon Integrated Security, veröffentlichte am Mittwoch einen Bericht zur Ausnutzung von CVE-2026-20131 durch die Interlock-Bande. Die kritische Lücke betrifft die Software Cisco Secure Firewall Management Center und wurde am 4. März offengelegt. Interlock setzte sie laut Moses bereits am 26. Januar ein. Cisco äußerte sich nicht auf Nachfrage, ergänzte aber am selben Mittwoch seine Sicherheitsmeldung und bestätigte die Ausnutzung.

“Das war nicht einfach ein weiterer Schwachstellen-Exploit. Interlock hatte einen Zero-Day in der Hand und damit eine Woche Vorsprung, um Organisationen zu kompromittieren, bevor Verteidiger überhaupt wussten, wonach sie suchen mussten”, erklärte Moses. Die eigentliche Bedeutung liege weniger bei einer einzelnen Lücke oder Gruppe als in der grundsätzlichen Herausforderung durch Zero-Days: Wenn Angreifer eine Schwachstelle ausnutzen, bevor es einen Patch gibt, schütze auch das sorgfältigste Patch-Programm in diesem Zeitfenster nicht. Amazon meldete seine Erkenntnisse an Cisco, damit Hinweise an die Kunden ausgegeben werden können.

Auf die Aktivitäten stießen die Forscher über einen falsch konfigurierten Infrastrukturserver, der der Bande als Zwischenlager diente. Dort fanden sie maßgeschneiderte Malware, Skripte zur Aufklärung und Techniken zur Verschleierung. Auch die Erpresserbotschaft und das Verhandlungsportal von Interlock lagen dort — darüber ordneten die Forscher die Angriffe der Gruppe zu. Laut Moses verweise die Erpresserbotschaft auf mehrere Datenschutzvorschriften: Interlock drohe Opfern nicht nur mit der Verschlüsselung von Daten, sondern auch mit Bußgeldern und Compliance-Verstößen.

Neben den schädlichen Werkzeugen entdeckten die Forscher eine Reihe legitimer Sicherheitswerkzeuge im Einsatz, darunter ConnectWise ScreenConnect, das Forensik-Werkzeug Volatility und das Offensiv-Werkzeug Certify. Die Akteure arbeiteten typischerweise in der Zeitzone UTC+3, die Moskau und mehrere Länder des Nahen Ostens umfasst.

Interlock zielt nach den Angaben bevorzugt auf Organisationen, die sich Ausfälle kaum leisten können, etwa Kommunen und Schulen. Die Stadtverwaltung von St. Paul in Minnesota kämpfte wochenlang mit der Wiederherstellung nach einem Interlock-Angriff; der Gouverneur des Bundesstaats musste die Nationalgarde zur Unterstützung hinzuziehen. Angriffe auf den Dialyseanbieter DaVita und auf eines der größten Gesundheitssysteme in Ohio legten sensible Gesundheitsdaten von Millionen Menschen offen.

Den größten Anteil der Aktivitäten macht laut Moses der Bildungssektor aus. Auf der Leak-Seite der Gruppe waren in den vergangenen sechs Monaten mehrere K-12-Schulen aufgeführt, von denen einige Cyberangriffe oder Eindringversuche mit weitreichenden Folgen meldeten. Das FBI und weitere US-Behörden erklärten im vergangenen Jahr, Interlock sei im September 2024 in Erscheinung getreten und habe wiederholt kritische Infrastruktur und Unternehmen in Nordamerika und Europa angegriffen. Die Sicherheitsmeldung verweist zudem auf mögliche Verbindungen zwischen Interlock und Rhysida, einer weiteren für Angriffe auf Regierungen bekannten Ransomware-Operation.